Недавно я начал получать отчеты о спаме AOL с нашего сервера обмена. В ходе расследования я обнаружил, что через наш сервер обмена ретранслируются сотни спам-сообщений. Хотя мне сложно понять, почему.
Журнал отслеживания показывает события приема и отправки SMTP для каждого спам-сообщения, исходящего с IP-адреса, который выполняет обратный поиск в Вашингтон, округ Колумбия.
Похоже, что они посещают наш сервер с 2 до 4 часов каждую вторую ночь. Также каждую ночь попадает в разные домены.
Спам - это изображение, взятое с русскоязычного сайта. Адреса отправителя и получателя совпадают, так что пользователя обманывают, чтобы открыть его.
Я проверил наши соединители приема и конфигурацию соединителя отправки, и все швы должны быть настроены правильно. Я запустил проверку открытого реле из MXtools, и она прошла. Я использовал инструмент smtp, чтобы попытаться передать сообщение, и я не смог, если не аутентифицировался. Как аутентифицированный пользователь я мог ретранслировать сообщение с внешнего адреса на внешний адрес.
Это наводит меня на мысль, что спамер подключается через SMTP-сеанс аутентифицированного пользователя. Однако я совершенно не знаю, как просматривать журналы Exchange, чтобы узнать, от имени какого пользователя они прошли проверку подлинности, и даже как они смогли передать сообщение через Exchange.
Может ли кто-нибудь пролить свет на это?
У вас должно быть 2 или 3 разъема для приема. Не следует проверять параметры аутентификации, работать с портом 25 и быть привязанным к внешнему IP-адресу для получения входящей почты. Второй должен быть привязан к внутреннему IP-адресу на порту 25 и / или 587 с обязательной аутентификацией и ограничен внутренними IP-адресами или диапазонами IP-адресов из белого списка для использования внутренними устройствами и службами, такими как сканеры и программное обеспечение для мониторинга. Третий является необязательным и работает на порту 587, требует аутентификации и TLS и привязан к внешнему IP-адресу для использования вашими сотрудниками за пределами вашего периметра.
Теперь, поскольку первый соединитель приема разрешает только анонимные соединения, он автоматически запрещает ретрансляцию. Это решит вашу проблему, особенно если вы не активируете третий упомянутый мной разъем.